Вразливість та обробка інцидентів

Звітування щодо проблем із захистом

Дивись також

Будь ласка, прочитайте Використання штучного інтелекту для створення проблем, якщо ви використовували штучний інтелект для виявлення проблеми безпеки у Weblate.

Команда розробників Weblate твердо прихильна до відповідального звітування та розкриття інформації про проблеми, пов’язані з безпекою. Ми прийняли і дотримуємося політики, яка спрямована на своєчасне надання оновлень безпеки Weblate.

Більшість звичайних помилок у Weblate повідомляються нашій публіці. Відстеження проблем GitHub, але через делікатний характер питань безпеки, ми просимо не повідомляти про них публічно таким чином.

Натомість, якщо ви вважаєте, що знайшли у Weblate щось, що може вплинути на безпеку, будь ласка, надішліть опис проблеми на security@weblate.org, GitHub або за допомогою HackerOne.

Співробітник служби безпеки відповість вам протягом 48 годин, і в залежності від того, які дії будуть вжиті, ви можете отримати додаткові електронні листи.

Примітка

Надсилання зашифрованих звітів

Якщо ви хочете надіслати зашифрований електронний лист (необов’язково), будь ласка, використовуйте відкритий ключ для security@weblate.org з ідентифікатором 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Цей відкритий ключ доступний на найчастіше використовуваних серверах ключів, за допомогою WKD або безпосередньо з weblate.org..

Підказка

Weblate залежить від сторонніх складників для виконання багатьох завдань. Якщо вами буде виявлено вразливість, яка стосується одного з цих складників загалом, будь ласка, повідомте про неї розробникам відповідного проєкту.

Ось деякі з цих складників:

• Django

• Бібліотека REST Django

• Python Social Auth

Дивись також

• Надсилання звітів щодо вад у Weblate

Політика розкриття інформації про вразливості

Протягом 30 днів після випуску випуску, що містить виправлення вразливостей, на сайті https://github.com/WeblateOrg/weblate/security/advisories публікується рекомендація з безпеки. За можливості, консультація стає доступною одразу з випуском.

Про будь-яку активно використовувану вразливість або серйозні інциденти повідомляється CSIRT протягом 24 годин, загальна інформація надається CSIRT протягом 72 годин, а повний звіт надається протягом 14 днів.

Усі користувачі розміщеного або виділеного Weblate, на яких вплинув серйозний інцидент або активно використовувана вразливість, отримують повідомлення протягом 7 днів.